デジタル署名は、証明書ベースのデジタル ID を使用する電子サインの一種であり、クラウドベースのトラストサービスプロバイダーまたは署名者のローカルシステムから取得されます。

デジタル署名は、従来の手書き署名と同じように、文書に署名した個人を識別するものです。手書き署名とは異なり、証明書ベースの署名には署名者に固有の情報が暗号化されて格納されているため、偽造することは困難です。証明書ベースの署名は簡単に確認でき、受信者は署名者が最初に文書に署名した後に文書が変更されたかどうかを知ることができます。

Adobe Sign は（テキストタグ、Adobe Sign オーサリング環境でのドラッグアンドドロップ、または Acroform を使用した Acrobat Sign でのオーサリングのいずれかによって）デジタル署名フィールドをフォーム上に配置するという簡単な方法でデジタル署名をサポートしています。

タイムスタンプ

デジタル署名を適用する場合は、タイムスタンプが米国と EU 双方の署名に関するコンプライアンス標準の重要な要素になります。 

タイムスタンプは署名者の ID と文書そのものをロックする方法です。  ID は様々な方法（証明書、ログオン、ID カードなど）で取得できますが、タイムスタンプは、権限のある信頼できるタイムスタンプ発行機関（TSA）から提供される必要があります。 

タイムスタンプは、署名と文書をロックすることで、署名された契約書の長期的有効性（LTV）を保証します。  基本的に、ロックの錠を提供します。  これは、デジタル署名に関するコンプライアンスにとって非常に重要な意味を持ちます。個人の署名証明書は失効するおそれがありますが、タイムスタンプの LTV は、時間が経過しても署名の有効性を変えずに延長することができるからです。  LTV タイムスタンプにより、証明書が適用時に有効であったことが保証され、また、署名者の実際の証明書が有効期間を過ぎても、署名された契約書の有効性が維持されます。

EU の eIDAS に準拠した認定済みタイムスタンプ

欧州の Acrobat Sign EU1 インスタンスに含まれているすべてのアカウントには、デフォルトで、eIDAS 準拠の認定済みタイムスタンプが適用されます。（アカウントがどのインスタンスに含まれているかを把握するにはこちらを参照）。

使用方法

送信者の場合

送信者からすると、必要なことは、送信する文書にデジタル署名フィールドを配置することだけです。

文書／テンプレート作成者の場合

各受信者は、契約書内で最大でも 1 つのデジタル署名フィールドが割り当てられている可能性があります。必要なその他の署名フィールドは、標準的な電子サインフィールドタイプになります。

1 人の署名者がデジタル署名を使用しているというだけで、他の署名者も使用しなければいけないわけではありません。外部の署名者が電子サインフィールドタイプを使用するのに対して、内部の署名者だけにデジタル署名を適用させること（またはその逆）は、完全に許可されます。

ドラッグ＆ドロップオーサリングの使用

テンプレート作成者には、オーサリング環境の「署名フィールド」セクションに「デジタル署名」フィールドが表示されます。

以下に示すように、電子サインフィールドが左側に、デジタル署名フィールドが右側に表示されます。

テキストタグの構文

デジタル署名フィールドの構文は、引数 :digitalsignature を使用します。

例：{{digsig1_es_:signer1:digitalsignature}}

Acrobat でのフォームの作成

他のすべてのフィールドタイプと同様、Acrobat で文書を作成する際に、すべての引数によるフルテキストタグ（ただし、両端が中括弧のペアでない）を含めるようにフィールドの名前を変更することで、テキストタグの機能を複製できます。

署名者のエクスペリエンス

デジタル署名は証明書ベースなので、署名者は、署名を適用する前にデジタル ID を取得する必要があります。このデジタル ID は、複数のクラウド署名プロバイダーのいずれかから取得できます。あるいは、Adobe Acrobat または Acrobat Reader でローカルのデジタル ID を使用して署名を適用することによっても取得できます。

Acrobat Sign ソリューションでの署名者のプロセス：

• 契約書を開いて、必須フィールドに入力します。
• 既存のデジタル ID から選択するか、新しいデジタル ID を作成します。
  
• 署名を適用します。

署名が適用されたら、通常の署名サイクルを続行します。

契約書を開いてフィールドに入力する

署名者は、電子メールで通知され、「確認して署名」ボタンをクリックして、契約書を開くように指示されます。

文書が開いたら、署名者は文書を読んで、必要なすべてのフィールドに入力することができます。署名者が署名プロセスに進む前に、すべての必須フィールドに入力する必要があります。

デジタル署名フィールドの上にマウスポインターを置くと、テキストバルーンに補足説明が表示されます。

フィールドをクリックすると、オーバーレイが開き、次のパスのうちどちらかを選択するように求められます。

• クラウド署名（この後の説明ではこのパスを選択します）
• ダウンロードして Acrobat で署名（ダウンロード方法についてはこちらをクリック）

適切なオプションを選択して、「次へ」をクリックします。

ID プロバイダーをドロップダウンから選択するように求める新しいオーバーレイが表示されます。

• ドロップダウンに表示されているプロバイダーのみを使用できます。
• 許容されるデジタル ID がない署名者は、「新しいデジタル ID を取得」というリンクをクリックすることで、手順に従って複数のクラウド署名プロバイダーのいずれかから新しいデジタル ID を取得することができます。
• 新しいデジタル ID を取得したら、署名プロセスに戻ることができます。

ID プロバイダーが署名者にサービスへの認証を求めます。

認証されると、選択できる有効なデジタル ID のリストが表示されます。

• デジタル ID を選択します。
• 次へをクリックします

署名のプレビューが表示されます。

• 「署名を編集」をクリックして、次のいずれかをおこないます。
  • マウスまたはタッチパッドを使用して手動で署名する
  • 署名画像をアップロードする
• 次に進む用意ができたら、「OK 」をクリックします。

署名者は契約書に戻り、クリックして署名するように求められます。

その後、ID プロバイダーから追加の 2 要素認証が求められる場合があります。

例えば、下記のプロバイダーでは、デジタル ID の取得時に設定された静的な PIN と、ワンタイムパスワードが要求されます。

• 必要な値をすべて入力し、「OK」をクリックします。

2 要素認証が正常におこなわれると、文書は署名され、成功のメッセージが表示されます。

履歴と監査レポート

「履歴」タブおよび関連する監査レポートは、デジタル署名された文書というイベントが追加されている点で、標準的な電子サインレポートとは少し異なります。

以下の例では、最初の署名者には 1 つの「電子サイン済み」イベントがあり、それがすべてであることがわかります。

2 番目の署名者には電子サイン済みイベントとデジタル署名済みイベントがあります。

これは、デジタル署名プロセスが 2 つの部分で実行されているためです。 Web ブラウザーで（フィールドに入力して）おこなう部分と、ローカルデスクトップで（デジタル署名証明書を適用して）おこなう部分です。

署名者がフィールド部分を完了して「送信して署名に進む」ボタンをクリックすると、入力内容が更新されて、PDF に反映されます。これが、電子サイン済みイベントが示す内容です。

デジタル署名が適用されると、デジタル署名済みイベントが記載されます。

履歴情報の一貫性が保持され、監査レポートにも署名プロセスの 2 つのステージが反映されていることを確認できます。

設定方法

デジタル署名ワークフローは、Acrobat Sign アカウント管理者によってアカウントレベルで有効にできます。

• グループレベルの設定も可能で、その場合は、アカウントレベルの値よりも優先されます。

アカウントレベルの設定にアクセスするには、アカウント／アカウント設定／デジタル署名に移動します。

署名エクスペリエンスを管理するために設定できるオプションがいくつかあります。

署名の理由の表示

一部のコンプライアンス要件では、デジタル署名を適用した理由を署名者が記入することが求められます。例：Title 21 CFR Part 11 および SAFE-BioPharma コンプライアンス。

コンプライアンスの要求を満たすためにデジタル署名が使用される場合、署名プロセスで署名理由の入力も求める必要があるかどうかを法務チームに確認してください。

コントロールにアクセスするには、Bio-Pharma 設定リンクをクリックします。

高度な署名管理を必要とする場合は、BioPharma ページを参照してください >

制限されているクラウド署名プロバイダー

一部のプロバイダーは、サービスへのアクセスを事前に許可された顧客のみに制限しています。つまり、プロバイダーがそのアカウントに対してサービスの使用を許可するまで、サービスにアクセスできないことになります。

BankID Sweden はその例に当てはまる商業サービスの 1 つです。企業固有のプロバイダーも権限のあるアカウントに制限されます。

アクティベーションの際、そうしたプロバイダーは購読アカウントに対してサービスを設定するために、「アカウント ID」の提供を求めます。プロバイダーによって承認されると、ユーザーは制限されたサービスを使用できるようになります。それまでは、制限されたサービスを使用しようとすると、通常、プロバイダーからのエラーメッセージが表示されます。

デジタル署名形式のオプション

PKCS#7 は、ほとんどの（EU 以外の）Acrobat Sign アカウントでデジタル署名を制御するデフォルトの形式です。

欧州（EU1）シャードのアカウントは、eIDAS に準拠するためにデフォルトで PAdES 形式（ETSI EN 319142）を使用しています。

すべてのアカウントレベルの管理者は、Acrobat Sign サポートチームにリクエストを送信することで、この設定をある形式から別の形式に変更することをリクエストできます。

この機能は、グループまたはアカウントレベルで有効化および設定できます。

RSA-PSS

RSA-PSS は RSA 暗号システムに基づく署名スキームであり、過去の RSA-PKCS#1 v.1.5 スキームに比べてセキュリティ保証が向上しています。 

Acrobat Sign の RSA-PSS 導入には、アカウント管理者側での設定は必要ありません。

• 「クラウド署名」が選択されていて、署名者のデジタル ID が RSA-PSS と RSA-PKCS#1 の両方をサポートしている場合、デフォルトで RSA-PSS 署名スキームが使用されます。
• 「Acrobat で署名」が選択されている場合、RSS-PSS または RSA-PKCS#1 の使用は Acrobat アプリケーションにおける署名者の設定によって決まります。
• Acrobat Sign は、RSA-PSS スキームで署名される CRL および OCSP 応答を完全にサポートしています。
• 適格電子サインに関するドイツ固有の要件に従うには RSA-PSS スキームを使用する必要があります。

知っておくべきこと

デジタル署名ワークフローは、契約書に一意のプロセスを強制します。署名を添えるために特別な処理が必要なので、注意が必要ないくつかの制限があります。

• 各署名者には、1 つのデジタル署名フィールドのみを割り当てることができます。
• Web フォームはデジタル署名をサポートしていません。
• 一括送信は、署名に対する「ダウンロードして Acrobat で署名」の操作をサポートしていません。クラウドベースのデジタル署名は正しく機能します。
• デジタル署名を使用すると、「文書の表示制限」が無効になります。すべての受信者にすべてのページが表示されます。
• モバイルデバイス上の署名者は、クラウドベースのデジタル署名のみを適用できます。
• OAuth 認証モードを使用するクラウドベースのデジタル ID は、入力と署名機能ではサポートされません。
• 入力と署名機能は、Aadhaar サービスプロバイダーとの署名をサポートしていません。
• コンテンツを共有するユーザー、または高度な共有が有効になっているアカウントは、デジタル署名を使用できません。
• デジタル署名と同時に eVaulting を使用することはできません。
• ファイルの添付を適用できるのは、最初の署名者のみです。その後の署名者が新しいファイルを添付すると、以前のデジタル署名がすべて無効になります。
• 「トランザクション番号」フィールドでは、デジタル署名が電子サインに変換されます。
• （契約書の作成に複数のドキュメントが使用されている場合に）「ドキュメントの分離を保つ」オプションの設定は、現在サポートされていません。ドキュメントは、1 つの完全なファイルとしてのみ返すことができます。